Una implementación correcta del acceso contextual protege los datos de Workspace frente a los usuarios peligrosos y asegura que no se bloqueen los usuarios legítimos. Ten en cuenta estas recomendaciones de lanzamiento para reducir el riesgo de que se bloquee un gran número de usuarios:
Usar el modo Monitor para probar niveles de acceso
Inicialmente, puedes asignar un nivel de acceso en el modo Monitor, en lugar de en el modo activo. El modo Monitor te permite simular los efectos de implementar obligatoriamente un nivel de acceso sin bloquear realmente el acceso de los usuarios.
Cuando apliques un nuevo nivel de acceso, te recomendamos que lo dejes en el modo Monitor durante al menos una semana. Durante ese periodo, los eventos registrados en el registro de acceso contextual indican qué usuarios se bloquearían si el nivel de acceso estuviera en modo activo. Una vez que hayas verificado que un nivel de acceso funciona como quieres, puedes activar la implementación obligatoria cambiándolo al modo activo.
Para obtener instrucciones detalladas sobre cómo usar el modo Monitor, consulta el artículo Asignar niveles de acceso contextual a las aplicaciones.
Otras recomendaciones sobre el lanzamiento
- Fase de lanzamiento. Empieza por una unidad organizativa o un grupo como grupo piloto y observa cómo les afecta la política en cuestión. Si esos usuarios pueden acceder a las aplicaciones correctamente, continúa con el siguiente grupo de usuarios. Si están satisfechos, implementa las políticas de acceso para todos los usuarios.
- Asigna políticas de acceso a aplicaciones concretas. Prueba a implementar políticas en aplicaciones que no se usen mucho en tu entorno. Monitoriza cómo repercuten las políticas en esas aplicaciones y, luego, impleméntalas sobre la marcha en otras que se utilicen más.
- Evita que se impida el acceso a usuarios o partners. No bloquees el acceso a los servicios de Google Workspace que usas para comunicarte con tus usuarios y que ellos también necesitan para comunicarse contigo (por ejemplo, Gmail). Identifica los intervalos de IP que necesitan los usuarios y partners.
- No utilices Google Cloud Platform (GCP) para añadir o cambiar niveles de acceso si solo eres cliente de Workspace. Si añades o cambias niveles de acceso con un método que no sea la interfaz de acceso contextual, puede aparecer un mensaje de error que indique que se están utilizando atributos no admitidos en Google Workspace. Como consecuencia, es posible que se bloqueen usuarios.
- Planifica la ayuda del centro de asistencia para los usuarios que la puedan necesitar durante el lanzamiento.
Monitoriza el lanzamiento
Independientemente del método de implementación que elijas, debes monitorizar los resultados del proceso pidiendo a los usuarios que aporten sus comentarios al respecto. Además, consulta los eventos de registro de acceso contextual para comprobar si hay usuarios rechazados.
Prepararse para el despliegue
Para que la implementación se lleve a cabo sin problemas, sigue estos pasos antes de crear o implementar nuevas políticas de acceso.
1. Informar a los usuarios
Habla con tus usuarios para saber qué elementos necesitan proteger en su entorno de trabajo. Dado que implementarás el acceso contextual por unidad organizativa o grupo, las necesidades de los diferentes usuarios de tu organización pueden variar. Comunícales las posibles consecuencias de las políticas que crees y asignes (por ejemplo, podrían bloquearse en distintos momentos por diversos motivos). Comunica el lanzamiento con antelación para fomentar la aceptación por parte de los usuarios.
2. Incluir a los usuarios en unidades organizativas o grupos
Puedes asignar niveles de acceso por unidad organizativa. Si ya has configurado unidades organizativas con otros fines, puedes crear y asignar niveles a grupos de configuración. En cualquier caso, asegúrate de que los usuarios a los que quieres conceder acceso se encuentran en las unidades organizativas o grupos adecuados.
3. Hacer encuestas en dispositivos de empresas
Antes de implementar políticas basadas en dispositivos, asegúrate de que los dispositivos de tu empresa se gestionan de forma adecuada por parte de TI y cumplen los estándares de la empresa. Comprueba si los dispositivos están cifrados, tienen el sistema operativo actualizado y son propiedad de la empresa o personales.
4. Registra dispositivos móviles con la gestión de endpoints
Los dispositivos móviles deben administrarse con la gestión de endpoints de Google (ya sea básica o avanzada).
5. Implementa la verificación obligatoria de puntos finales antes de crear políticas
Implementa la verificación obligatoria de puntos finales para saber qué dispositivos acceden (o accederán) a los datos de Google Workspace. En las extensiones de Chrome, debes especificar la instalación forzada de la verificación de puntos finales y requerir una clave de acceso. Consulta más información en el apartado Configurar la verificación de puntos finales.
Configurar la verificación de puntos finales y activar el acceso contextual
Configuraciones de software para ordenadores o dispositivos móviles.
Configurar la verificación de puntos finales
Si implementas una política de dispositivos en un nivel de acceso, tanto tus usuarios como tú tendréis que configurar la verificación de puntos finales. Antes, debes habilitar la verificación de puntos finales en la consola de administración. Si necesitas instrucciones, consulta el artículo Activar o desactivar la verificación de endpoints.
Nota: Si implementas obligatoriamente una política de dispositivos de acceso contextual y queda algún usuario que no haya iniciado sesión en la verificación de endpoints, puede que se le deniegue el acceso a ese usuario aunque su dispositivo cumpla los requisitos de la política. Esta situación se produce porque se pueden tardar unos segundos en sincronizar los atributos del dispositivo mediante la verificación de end points. Para evitarlo, asegúrate de que los usuarios inicien sesión en la verificación de endpoints y refrescan la página del navegador antes de implementar obligatoriamente una política de dispositivos de acceso contextual.
Consultar qué dispositivos tienen verificación de endpoints
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
Ve a Menú DispositivosInformación general.
- Haz clic en Puntos de conexión.
- Haz clic en Añadir un filtro.
- Selecciona Tipo de gestiónVerificación de endpoints.
- Haz clic en Aplicar.
Configuración para dispositivos móviles (gestión de puntos finales de Google)
Para implementar niveles de acceso obligatorios en dispositivos móviles, es necesario administrar a los usuarios correspondientes mediante la gestión básica o la gestión avanzada de dispositivos móviles.
Pasos adicionales
Subir el inventario de dispositivos propiedad de la empresaSi necesitas instrucciones, consulta la sección "Añadir dispositivos al inventario" del artículo Añadir dispositivos propiedad de la empresa al inventario.
Nota: Los dispositivos con Android 12 o versiones posteriores y un perfil de trabajo aparecen siempre como propiedad del usuario, aunque los añadas al inventario de la empresa. En el caso de estos dispositivos, si un nivel de acceso requiere que un dispositivo sea propiedad de la empresa, la acción no se lleva a cabo. Por el contrario, si un nivel de acceso requiere que el dispositivo sea propiedad del usuario, la acción sí se lleva a cabo. Para obtener más información, ve al artículo Consultar la información de dispositivos móviles. En la sección Información disponible sobre los dispositivos, ve a la tabla del apartado Información del dispositivo y desplázate hasta Propiedad.
Activar y desactivar el acceso contextual
Puedes activar el acceso contextual en diferentes momentos del proceso de lanzamiento. Por ejemplo, puedes activarlo antes de crear niveles de acceso y asignarlos a aplicaciones; en este caso, los niveles de acceso que asignes entrarán en vigor de inmediato.
También puedes hacer la configuración y la comprobación iniciales (es decir, crear y asignar niveles de acceso, y configurar la verificación de puntos finales) sin activar el acceso contextual. Durante este periodo, las asignaciones de niveles de acceso no surtirán ningún efecto. Cuando se haya completado la configuración, puedes activar el acceso contextual.
Puedes desactivar el acceso contextual si surgen problemas con los usuarios y quieres pausar la aplicación mientras investigas qué políticas los están provocando. Una vez que hayas determinado qué nivel de acceso es el causante de esas incidencias, puedes modificar la política o quitarla, según sea necesario, en unidades organizativas o grupos específicos.
Pasos para activar el acceso contextual
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosAcceso contextual.
- Comprueba que el acceso contextual esté activado. Si no es así, haz clic en Activar.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosAcceso contextual.
- Haz clic en Desactivar.
Siguientes pasos
Crea y asigna niveles de acceso
En estos artículos se explica cómo crear niveles de acceso y asignarlos a aplicaciones:
Consulta casos prácticos
En estos artículos, se describen casos prácticos habituales que puedes consultar de cara a la implementación del acceso contextual en tu entorno: